<html>
  <head>
    <meta content="text/html; charset=windows-1252"
      http-equiv="Content-Type">
  </head>
  <body bgcolor="#FFFFFF" text="#000000">
    <div class="moz-cite-prefix">On 3/1/15 11:34 PM, Eduardo Almeida
      wrote:<br>
    </div>
    <blockquote cite="mid:54F3CC4F.9080701@web2solutions.com.br"
      type="cite">O user autentica o client uma primeira vez e recebe um
      token para as consecutivas requisições feita á API. Tokens
      expiram. É lógico que você pode definir a vida útil deles de
      acordo com sua necessidade.</blockquote>
    Dá para se implementar coisas interessantes sobre os tokens.<br>
    <br>
    O token pode conter informações associadas que poderão ser usadas
    para confrontar com informações obtidas sobre o cliente em cada
    requisição.<br>
    <br>
    Por exemplo<br>
    <br>
        - você pode associar um 'user id' (geralmente eu envio, via
    headers, o id do user que está chamando o end point)<br>
        - você pode associar uma 'allowed origin' (e negar requisições
    com esse token se feita de uma origem desconhecida)<br>
    <br>
    Enfim ... há uma série de coisas que poderão ser implementadas no
    sentido de validar o acesso. é óbvio que há coisas que podem ser
    burladas quando feita a requisição (mascarando), porém, pra burlar
    isso, a pessoa precisa conhecer todo seu esquema de validação.<br>
    <br>
    <br>
    <br>
    <br>
    <div class="moz-signature">-- <br>
      Eduardo Almeida - Software Engineer<br>
      <a class="moz-txt-link-abbreviated" href="mailto:eduardo@web2solutions.com.br">eduardo@web2solutions.com.br</a> - 27 3261-0082 / 27 9839 3755<br>
      <br>
      <b>WEB2 Solutions</b> - Inovando, sempre!
      <br>
      <img src="cid:part1.08090807.03010902@web2solutions.com.br"></div>
  </body>
</html>